Po roku vývoja spoločnosť Otvorená nadácia pre informačnú bezpečnosť (OISF) zverejnené prostredníctvom príspevok na blogu, vydanie novej verzie Suricata 6.0, čo je systém detekcie a prevencie narušenia siete, ktorý poskytuje prostriedky na kontrolu rôznych druhov prenosu.
V tomto novom vydaní predstavuje sa niekoľko veľmi zaujímavých vylepšení, ako napríklad podpora protokolu HTTP / 2, vylepšenia rôznych protokolov, vylepšenia výkonu a ďalšie zmeny.
Pre tých, ktorí nevedia o surikate, mali by ste vedieť, že tento softvér naprJe založená na súbore pravidiel externe vyvinuté na sledovanie sieťovej prevádzky a poskytovať výstrahy správcovi systému, keď dôjde k podozrivej udalosti.
V konfiguráciách Suricata je povolené používať databázu podpisov vyvinutú projektom Snort, ako aj sady pravidiel pre vznikajúce hrozby a vznikajúce hrozby Pro.
Zdrojový kód projektu je distribuovaný pod licenciou GPLv2.
Hlavné správy o Suricate 6.0
V tejto novej verzii Suricata 6.0 môžeme nájsť počiatočná podpora protokolu HTTP / 2 s ktorými sa zavádza nespočetné množstvo vylepšení, ako napríklad použitie jedného spojenia, kompresia hlavičiek, okrem iného.
okrem toho bola zahrnutá podpora protokolov RFB a MQTT, vrátane definície protokolu a možností protokolovania.
tiež registračný výkon sa výrazne zlepšil prostredníctvom motora EVE, ktorý poskytuje výstup JSON z udalostí. Zrýchlenie sa dosahuje vďaka použitiu nového generátora výlevky JSON napísaného v jazyku Rust.
Zvýšila sa škálovateľnosť registračného systému EVE a implementovala schopnosť udržiavať hotelový denník pre každé vysielanie.
Okrem toho, Suricata 6.0 predstavuje nový jazyk na definovanie pravidiel ktorá pridáva podporu pre parameter from_end v kľúčovom slove byte_jump a parameter bitmask v byte_test. Ďalej bolo implementované kľúčové slovo pcrexform, ktoré umožňuje regulárnym výrazom (pcre) zachytiť podreťazec.
Schopnosť odrážať MAC adresy v zázname EVE a zvýšiť podrobnosti záznamu DNS.
Z ďalšie zmeny, ktoré vynikajú tejto novej verzie:
- Bola pridaná konverzia urldecode. Pridané kľúčové slovo byte_math.
- Schopnosť protokolovania pre protokol DCERPC. Schopnosť definovať podmienky na výpis informácií do protokolu.
- Vylepšený výkon prietokového motora.
- Podpora identifikácie implementácií SSH (HASSH).
- Implementácia dekodéra tunelov GENEVE.
- Rust kód prepísaný tak, aby spracovával ASN.1, DCERPC a SSH. Rust podporuje aj nové protokoly.
- Poskytnite možnosť použiť cbindgen na generovanie odkazov v Rust a C.
- Pridaná počiatočná podpora doplnkov.
Konečne ak o tom chcete vedieť viac, môžete skontrolovať podrobnosti prechodom na nasledujúci odkaz.
Ako nainštalovať Suricata na Ubuntu?
Ak si chceme nainštalovať tento pomocný program, môžeme to urobiť pridaním nasledujúceho úložiska do nášho systému. Stačí zadať nasledujúce príkazy:
sudo add-apt-repository ppa:oisf/suricata-stable sudo apt-get update sudo apt-get install suricata
V prípade, že máte Ubuntu 16.04 alebo máte problémy so závislosťami, pomocou nasledujúceho príkazu je to vyriešené:
sudo apt-get install libpcre3-dbg libpcre3-dev autoconf automake libtool libpcap-dev libnet1-dev libyaml-dev zlib1g-dev libcap-ng-dev libmagic-dev libjansson-dev libjansson4
Inštalácia je hotová, odporúča sa zakázať akýkoľvek balík funkcií mimo server na NIC, ktorú Suricata počúva.
Môžu deaktivovať LRO / GRO na sieťovom rozhraní eth0 pomocou nasledujúceho príkazu:
sudo ethtool -K eth0 gro off lro off
Surikata podporuje množstvo prevádzkových režimov. Zoznam všetkých režimov vykonávania môžeme vidieť pomocou nasledujúceho príkazu:
sudo /usr/bin/suricata --list-runmodes
Použitý predvolený režim spustenia je autofp, skratka pre „automatické vyrovnávanie zaťaženia s pevným prietokom“. V tomto režime sú pakety z každého iného streamu priradené k jednému detekčnému vláknu. Toky sú priradené vláknam s najmenším počtom nespracovaných paketov.
Teraz môžeme pokračovať k spustite Suricata v živom režime pcappomocou nasledujúceho príkazu:
sudo /usr/bin/suricata -c /etc/suricata/suricata.yaml -i ens160 --init-errors-fatal